Oktaは2月13日、社内でIT部門の許可なく利用されるAIエージェントを検知するための新機能「Agent Discovery」を発表した。同社が提供するアイデンティティセキュリティポスチャ管理(ISPM)に加わった新機能であり、既知および未知のAIエージェントに潜むアイデンティティのリスクや設定ミスを明らかにし、AIエージェントが悪用された際の影響範囲の特定を可能にする。

IT部門の許可なく利用される「シャドーIT」は、企業にとってのリスクになる。生成AIが社員に広く利用されるようになると、許可なくAIを利用する「シャドーAI」もリスクになってきた。Gartnerの調査によると、69%の組織が従業員による禁止された生成AIツールの利用を懸念している。また、同社は、2030年までに企業の40%以上が未承認のシャドーAIに起因するセキュリティやコンプライアンスの侵害を経験すると予測する。

Oktaによると、Agent Discoveryは、AIエージェントが行うOAuthによる認証を検知し、非公認のプラットフォームや未検証のエージェントビルダー上で作成されたAIエージェントを特定する。これらの接続を発生源の時点で表面化させることで、企業はバックエンドのAPI連携や複雑なアプリ間接続に発展する前に環境内に侵入したAIツールを把握できるようになる。

実際に利用する場合は、Google Chromeなどのブラウザと連携しながら、AIエージェントが行うリアルタイムのシグナルをキャプチャする。非公認ツールを使用する未知のエージェントが重要なデータへのアクセス権限を取得した際には、アラートを発信するほか、エージェントに付与された特定の権限やスコープを明らかにし、セキュリティ審査を回避している未承認アプリを特定する。

また、発見したエージェントは、Okta上で「既知の管理されたアイデンティティ」として登録され、セキュリティポリシーの適用や人間の責任者の割り当てを行うことで、ガバナンスの統制下に置くことができる。

Oktaではエージェントディスカバリー機能を今後も拡張し、企業の重要資産であるAI環境をカバーしていく予定だ。

【参考】：Okta、シャドーAIエージェントのリスクを可視化・軽減する新機能を発表 | Okta Japan株式会社のプレスリリース